Eine Übermittlung liegt in der Regel dann vor, wenn eine Stelle Daten an eine Stelle im Drittland oder an eine internationale Organisation sendet oder sie von dort abrufen lässt. Auch Datenzugriffe aus Stellen im Drittland etwa für Backups, Wartung und Servicefunktionen sind Übermittlungen.

Drittländer sind Staaten außerhalb des Europäischen Wirtschaftsraums, also außerhalb der Europäischen Union und außerhalb von Island, Liechtenstein und Norwegen.

Eine internationale Organisation ist eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

Die folgenden Informationen erläutern die Vorschriften der Datenschutz-Grundverordnung zur Datenübermittlung an Drittländer. Für NRW-Behörden, die Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung verarbeiten (Richtlinie (EU) 2016/680, „JI-Richtlinie“), gelten dagegen die §§ 62 ff. Datenschutzgesetz Nordrhein-Westfalen.

Die Datenschutz-Grundverordnung enthält keine rechtliche Definition des Begriffs "Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation". Wir wenden drei Kriterien an, die gleichzeitig vorliegen müssen, damit eine Verarbeitung als Übermittlung in diesem Sinn bewertet wird:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter ("Exporteur") unterliegt für die betreffende Verarbeitung der Datenschutz-Grundverordnung.
2. Der Exporteur stellt einem anderen für die Verarbeitung Verantwortlichen, einem gemeinsam Verantwortlichen oder einem Auftragsverarbeiter ("Importeur") personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, durch Übermittlung oder auf andere Weise zur Verfügung.
3. Der Importeur befindet sich in einem Drittland, unabhängig davon, ob dieser Importeur für die betreffende Verarbeitung gemäß Artikel 3 der DSGVO unterliegt oder nicht, oder er ist eine internationale Organisation.

Diese Kriterien werden in der Leitlinie 05/2021 des Europäischen Datenschutzausschusses näher erläutert (derzeit nur auf Englisch verfügbar).

Falls diese Kriterien nicht erfüllt sind, sind die Regelungen der Artikel 44 ff. DS-GVO nicht anzuwenden. Falls aber trotzdem personenbezogene Daten in ein Drittland fließen, ist besonders zu prüfen, welche technischen und organisatorischen Maßnahmen erforderlich sind. Wenn beispielsweise der Verantwortliche oder Auftragsverarbeiter Daten an eine unselbständige Niederlassung oder an seine Beschäftigten im Drittland sendet, muss er beim Versand und bei der weiteren Verarbeitung die Risiken im Drittland besonders berücksichtigen, um ein angemessenes Schutzniveau zu gewährleisten. Diese Pflicht zur Einhaltung der allgemeinen Schutzvorschriften betont auch Abschnitt 4 der Leitlinie 05/2021.

Eine Übermittlung an Drittländer ist nur zulässig, wenn die Bedingungen für die Drittlandübermittlung und auch die sonstigen Bestimmungen der Datenschutz-Grundverordnung eingehalten werden (Art. 44 Datenschutz-Grundverordnung – DS-GVO). Es wird also in zwei Stufen geprüft:

1. Stufe: Werden die sonstigen Bestimmungen der DS-GVO eingehalten?

Dabei ist alles zu prüfen, was auch ohne Drittlandübermittlung zu prüfen ist – also die Rechtsgrundlage für die Übermittlung, aber auch alle anderen Regelungen beispielsweise zu Informations- und Rechenschaftspflichten oder zur Datenminimierung. Kapitel V der DS-GVO (Art. 44 ff. DS-GVO) enthält keine Rechtsgrundlage, die die Übermittlung selbst erlaubt.

2. Stufe: Werden die Bedingungen von Kapitel V der DS-GVO (Art. 44 ff. DS-GVO) eingehalten?

Dafür muss eines der verschiedenen „Instrumente“ genutzt werden, die die DS-GVO für Drittlandübermittlungen bereitstellt.

Weil die Anforderungen für Drittlandübermittlungen häufig schwer zu erfüllen sind, sollten datenverarbeitende Stellen sorgfältig prüfen, ob sie überhaupt Daten in Drittländer übermitteln müssen oder wollen. Die Frage kann sich besonders dann stellen, wenn sie bestimmte Dienste in Anspruch nehmen wollen, bei denen Datenübermittlungen in Drittländer stattfinden (können), beispielsweise manche Cloud-Lösungen. Wenn die Entscheidung für einen solchen Dienst gefallen ist, sollte geprüft werden, ob die Übermittlung mit technischen oder organisatorischen Maßnahmen ausgeschlossen oder zumindest ihr Umfang verringert werden kann. Nicht erforderliche Übermittlungen und unberechtigte Zugriffe Dritter müssen schon auf der ersten Stufe verhindert werden.

Für Übermittlungen in Drittländer sollte möglichst umfassend Verschlüsselung eingesetzt werden. Dabei sollte die Schlüsselverwaltung möglichst im Europäischen Wirtschaftsraum stattfinden und sollten die Schlüssel nicht im Drittland verfügbar sein. Für manche Drittländer ist diese technische Maßnahme eine der wenigen Möglichkeiten, um ein angemessenes Datenschutzniveau sicherzustellen (ergänzende Maßnahmen bei Art. 46 DS-GVO).

Angemessenheitsbeschluss (Art. 45 DS-GVO)

Eine Übermittlung ist zulässig, wenn die Europäische Kommission beschlossen hat, dass das Drittland ein angemessenes Schutzniveau bietet. Eine besondere Genehmigung für die Datenübermittlung ist dann nicht erforderlich. Mehr zum Angemessenheitsbeschluss.

Geeignete Garantien (Art. 46 DS-GVO)

Wenn es keinen Angemessenheitsbeschluss gibt, ist eine Übermittlung zulässig, wenn geeignete Garantien vorgesehen sind, um trotzdem ein angemessenes Schutzniveau zu gewährleisten. Dafür gibt es verschiedene Möglichkeiten, beispielsweise EU-Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften (BCR).

Bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf ergänzende Maßnahmen treffen. Das hat der Europäische Gerichtshof in seiner Rechtsprechung klargestellt (Urteil C-311/18 vom 16.07.2020 - „Schrems II“). Mehr zu geeigneten Garantien und mehr zu zusätzlichen Prüfungen und ergänzenden Maßnahmen.

Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)

Wenn es weder einen Angemessenheitsbeschluss noch geeignete Garantien gibt, ist eine Datenübermittlung nur in den Ausnahmefällen zulässig, die Art. 49 DS-GVO regelt. Solche Fälle sind zum Beispiel eine Einwilligung, die Erforderlichkeit für bestimmte Vertragszwecke oder lebenswichtige Interessen. Allerdings können regelmäßige Übermittlungen nicht auf diese Ausnahmen gestützt werden. Mehr zu Ausnahmen für bestimmte Fälle.

Auch wenn eines der oben genannten Instrumente verwendet wird, ist eine Übermittlung unzulässig, wenn ein Gericht oder eine Verwaltungsbehörde eines Drittlands die Übermittlung verlangt, sich aber nicht auf eine internationale Übereinkunft wie etwa ein Rechtshilfeabkommen stützt (Art. 48 DS-GVO).